本文是作者系列文章的第三篇,笔者对“注册登录流程基于不同行业、不同类型、不同的安全要求,是否存在最优的设计方案?”这篇文章从剩下的四个维度:权限获取、注册协议、登录方式和整合账号进行解答。
前面两篇文章,分别写了3、4和5,那么这一篇,就是这个系列的最后一篇了。
本系列文章都是基于以下33款APP的数据分析,数据是2018年11月的:
一、权限获取
1. 常见权限
移动应用为了自身的功能需要等,常常需要获取用户的权限授权,常见的权限如下:
手机定位
手机号码、IMEI、IMSI、直接拨打电话
访问照片、媒体内容和文件
读取通话记录(随手记、分期乐)
写入/删除通话记录(随手记)
读取短信授权(挖财记账)
接听或挂断电话、监听通话状态(快手、抖音)
直接拨打电话(抖音)
获取手机的账户列表(陌陌)
读取联系人(陌陌)
录制音频(陌陌)
2. 获取权限的注意事项
有些权限如果只是生硬的出现一个授权弹框,想必用户会心里打鼓吧?
比如:读取通话记录,直接拨打电话,录制音频……
如果什么说明都没有,你作为用户,看到这些会是什么感觉?
——“这个软件想干什么,为什么要我这些权限?它想窃取我的隐私吗?它……然后进入受迫害妄想中……”
所以,在请求获取权限之前,清晰的说明获取权限的用途,降低用户的心理压力,是很有必要的。
以微博为例:
(用户点击开启,则会进入图3、4。若用户点击图1弹框左上角的叉叉,则会出现图2)
从图2可以看到:如果不授权,微博是直接拒绝用户使用的。这个就要根据自身的知名度、用户粘性等,来判断了,毕竟供求关系决定了谁更有主动性,比如:快手,就算在启动页时拒绝了授权也可以正常使用。
2. 获取权限的时机
要求用户授权的时机也是需要考虑的,是启动页获取?用户同意隐私协议户获取?注册登录后获取?登入首页后获取?还是用户使用到对应需要授权的功能时再获取?也是要结合产品的实际情况来进行判断和选择。
以陌陌为例:
在启动页时获取权限:手机号码、IMEI、IMSI、直接拨打电话;访问照片、媒体内容和文件;手机定位(同时弹框说明获取对应权限的用途)。
在点击查看手机联系人时获取权限:获取手机的账户列表;读取联系人。
在需要录制音频时获取权限:录制音频。
当用户有功能需求时,再去获取某些权限,可以降低用户的防备心,和授权的心理压力。
这里插播一句,比如:微信上线的看一看,把公号文里的点赞改成了“好看”,而后改为“在看”,也是为了降低用户的使用压力,“好看”参杂了个人态度和意见,显然不如“在看”来得轻松了。
二、注册协议
常见协议
为了明确双方的责任权利,注册协议是必不可少的,这33款内出现的协议如下:
注册协议 / 用户注册协议 / 注册服务协议 / 使用协议 / 用户协议 / 服务协议 / 服务条款/ 用户服务协议 / 服务许可协议 / 注册用户服务合同
隐私政策 / 隐私权政策 / 隐私保护政策 / 隐私政策更新 / 隐私权保护协议 / 隐私权保护政策 / 法律声明及隐私权政策
会员服务协议
软件许可及服务协议
账号信息合并协议
订单共享与安全
投保须知
重要告知及声明
名字改来改去,内容大同小异。
比较常见的搭配是1和2:服务协议+隐私政策。协议主要是为了公司的风控,所以有法务的找法务,没法务的,就多看看竞品的。
六、登录方式
常见方式
登录方式更多取决于注册和产品的安全需要,以及开通的验证方式。
开通了第三方授权登录的,直接使用第三方授权登录是很方便,也省钱的。
会员名、会员ID、注册/绑定邮箱+密码登录。
绑定了手机的,那就密码/短信。相对来说,短信更安全。毕竟很多用户喜欢使用相同的密码,一旦某个应用的用户账号数据库被攻破盗取,那么黑客就可以通过撞库来窃取用户其他平台的账号(所以非常用设备登录的安全控制也很重要)。不过短信需考虑网络延迟、公司费用等问题,不过登录是个非常用操作,只要结合防刷机制,也不会多太多成本。
开通了指纹解锁、手势密码的,也可以作为登录验证。
总的来说:第三方授权登录和手机+验证码,是目前最常见的登录方式(也是主流的注册方式)。而年份比较久的产品,过往采用了邮箱注册等方式,所以也保留着邮箱+密码登录。有些产品过往需要设置登录密码,而后放弃了登录密码,所以只有老用户才能使用密码登录。
非常用设备登录
很多对账户安全有要求的产品,都会做非常用设备的安全控制。
比如:微信,如果使用非常用设备,需要进行短信/好友验证。而如果账号在别处登录成功,原登录设备,会收到很详细的弹框提示,如果用户账号被盗,可以第一时间得知,并采取措施。
如金融产品等安全级别很高,涉及资金安全的,还会需要短信、人脸、银行卡等结合验证。我在使用京东时也遇到过,“输入历史订单收货人”的验证。
验证的目的是:确保用户账号的安全,形式并不固定,不同的产品也可以有不同的创新。
插播一个小故事:
不久前一个同事的手机掉到了地铁铁轨旁边的水沟里(水沟的口子也没多大,这运气也是没谁了,关键泡了一天还能用,苹果也是可以的),然后只好用公司手机登录微信,由于手机卡也没有,只好使用好友验证。
微信本来要求至少两个好友,发送一个随机码给该用户(说到这,监控确实是啊……),可是因为我在10秒内就发送了随机码给她,所以在只有我1人验证的情况下,她直接通过了验证。
如果这不是偶然或者我的误会,那么应该是微信设置了超短时间验证的特殊机制,也就是“验证人的朋友正好在他身边”的场景,还是小有惊喜的设计。
七、整合账号
什么是整合账号
整合账号,就是:用户可以通过一个账号,登录某个公司研发的多款产品,而不再需要注册多个账号;或者,用户可以使用某个应用的账号,登录另一款应用,比如使用淘宝账号登录支付宝,使用支付宝账号登录淘宝,也就是用户不同账号实现了关联。
整合账号的好处:一方面降低了用户的注册成本,更重要的是,有助于对用户的管理和数据的整合分析。
所以,在这次分析中,发现很多大公司都进行了账号整合。(微信的OpenId和UnionId也是类似的概念,在第二篇中有描述,有兴趣的朋友可以点击查阅)
账号整合的公司
在对33款产品的分析发现,平安、淘宝、分期乐、小米等都实现了账号整合。
平安的平安一账通账号,可以直接登录平安好医生、壹钱包、平安一账通、陆金所。
支付宝/淘宝账号,可以直接登录支付宝、淘宝、天猫。分期乐的账号可以登录桔子理财。
小米账号也在小米系的应用通用。
某些公司下多个应用间,就算没有完成账号整合,但只要绑定了用户的唯一身份码,如手机号、身份证号等,要对用户数据进行整合也是很方便的。
相关阅读
http://www.woshipm.com/pd/1584275.html
http://www.woshipm.com/pd/1638232.html
